Обзор инцидентов безопасности за период с 21 по 27 декабря 2020 года
28 декабря 2020 года
На прошлой неделе о себе снова напомнили операторы вымогательского ПО. Кроме того, стало известно о новом бэкдоре в платформе для управления IT-ресурсами SolarWinds Orion и новых пострадавших в результате взлома компании SolarWinds. Об этих и других инцидентах безопасности за период с 21 по 27 декабря 2020 года читайте в нашем обзоре.
Начало прошлой недели ознаменовалось сообщением об атаке вымогательского ПО Clop на производителя ароматизаторов Symrise. В результате кибератаки злоумышленники предположительно украли 500 ГБ незашифрованных файлов и зашифровали почти 1 тыс. компьютеров компании. В качестве доказательства взлома операторы Clop разместили скриншоты украденных файлов на своем сайте утечек данных. Утекшие данные включают паспорта, бухгалтерские документы, отчеты аудита, конфиденциальную информацию о косметических ингредиентах и электронные письма.
Киберпреступная группировка REvil похитила данные у крупной сети косметических клиник Hospital Group (также известной как Transform Hospital Group) и пригрозили опубликовать фотографии ее клиентов до и после операций. Как утверждают киберпреступники, они похитили более 900 ГБ снимков пациентов.
От атаки вымогательского ПО Conti пострадал производитель аппаратного и программного обеспечения для VoIP-телефонии Sangoma. Злоумышленники опубликовали на своем сайте утечек более 26 ГБ похищенных у Sangoma данных, в том числе файлы, относящиеся к бухгалтерскому учету, финансам, приобретениям, льготам и зарплате сотрудников, а также юридические документы.
Связываемые с правительством Ирана операторы вымогательского ПО Pay2Key заявили о взломе компьютерных систем израильской ИБ-компании Portnox. Злоумышленники опубликовали документы, связанные с клиентами Portnox, в том числе с такими крупными израильскими компаниями, как Bezeq, Elbit, El Al и Clalit. Согласно заявлению Pay2Key, они похитили почти 1 ТБ данных, но пока опубликовали только 3 ГБ.
Анализируя артефакты, полученные в ходе расследования начавшейся с SolarWinds атаки на цепочку поставок, специалисты Palo Alto Networks и Microsoft выявили еще один бэкдор, получивший название SUPERNOVA. Вредонос представляет собой web-оболочку, внедренную в платформу для мониторинга и управления IT-ресурсами SolarWinds Orion. С его помощью злоумышленники могут запускать произвольный код на системах с вредоносными версиями Orion. По данным US-CERT, SUPERNOVA был внедрен через уязвимость нулевого дня CVE-2020-10148 в SolarWinds Orion API. Компания SolarWinds уже выпустила исправление для данной уязвимости.
Хакеры взломали компьютерные системы корпоративного партнера Microsoft и похитили электронные письма пользователей облачных сервисов компании, а также переписку одной из частных компаний. Стоит отметить, что Microsoft входит в список пострадавших от взлома SolarWinds.
Как стало известно на прошлой неделе, вредоносное обновление для Orion также установили Intel, NVidia, Cisco Systems, VMware, Belkin и Deloitte. Кроме того, преступники получили доступ к Департаменту государственных больниц Калифорнии и Кентскому университету.
В ночь с 23 на 24 декабря криптовалютная биржа Livecoin стала жертвой кибератаки. Хакеры перехватили контроль над инфраструктурой Livecoin, а затем приступили к изменению обменных курсов до гигантских и нереалистичных значений. В сообщении на web-сайте Livecoin администраторы описали инцидент как «тщательно спланированную атаку, которая, предположительно, готовилась в течение последних нескольких месяцев».
На хакерском форуме Raidforum были опубликованы похищенные адреса электронной почты и почтовые адреса пользователей криптовалютного кошелька Ledger. Опубликованный архив содержит два файла с похищенными данными. В одном из них файлов хранятся адреса электронной почты 1 075 382 подписчиков информационного бюллетеня Ledger, а в другом – имена и почтовые адреса 272 853 владельцев аппаратных кошельков Ledger.
Компания Nintendo в очередной раз в нынешнем году стала жертвой утечки данных. Как и предыдущие утечки, информация касательно игровой консоли Nintendo Switch была опубликована на форуме 4chan. В частности, злоумышленники выложили данные по разработке Switch, в том числе 2015 SDK и документацию, связанную с безопасностью консоли.
На прошлой неделе исследователи безопасности из «Лаборатории Касперского» рассказали подробности о двух кибератаках, нацеленных на разработчиков вакцины от коронавирусной инфекции (COVID-19). Эксперты связали эти атаки с северокорейской группировкой Lazarus Group и полагают, что преступники очень заинтересованы в разведданных о COVID-19.
Компания Citrix предупредила о текущей DDoS-атаке на устройства ADC NetScaler. Citrix подтвердила, что текущая вредоносная кампания с использованием DTLS-протокола в качестве вектора усиления нацелена на сетевые устройства Citrix Application Delivery Controller (ADC) с включенным протоколом Enlighted Data Transport UDP (EDT).
Источники править
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 21 по 27 декабря 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.